Разница в одном символе — и вот уже пользователь вместо официального сайта архиватора попадает на клон . Специалисты компании Infoblox, которая занимается DNS-разведкой, обнаружили: за этим доменом стоит вовсе не безобидная опечатка, а часть многолетней криминальной схемы. Скачанный оттуда установщик действительно распаковывает файлы и работает как настоящий 7-Zip. Только вместе с архиватором на устройство тихо садится код, превращающий компьютер жертвы в узел чужой прокси-сети — без всякого уведомления и согласия владельца.
Infoblox назвала группировку, стоящую за этой инфраструктурой, Lurking Lizard. По данным исследователей, злоумышленники контролируют свыше 230 доменов-двойников, а первые следы их активности прослеживаются с августа 2022 года. Анализ WHOIS-записей и цифровых отпечатков инфраструктуры указывает на китайский след, хотя точная привязка к конкретной организации пока не подтверждена.
Схема построена не на разовом взломе, а на подделке репутации целых брендов резидентных прокси-сервисов. Lurking Lizard мимикрирует под IPIDEA, SmartProxy (компания недавно сменила название на Decodo), IP Royal и 911Proxy. Причём мошенники не просто копируют логотипы — они создают фальшивые «независимые» обзорные сайты, которые как бы объективно сравнивают провайдеров прокси, а на деле подталкивают посетителя к покупке в собственных поддельных магазинах группировки. В качестве приманки используются и раскрученные VPN-сервисы, и такие продукты, как HeroSMS — люди ищут привычный инструмент, а получают вредоносный установщик.
Пока Infoblox копалась в этой сети, случилось показательное совпадение: в январе Google самостоятельно демонтировала инфраструктуру IPIDEA в рамках отдельного расследования. То есть один из брендов, чьё имя эксплуатирует Lurking Lizard, оказался под ударом крупной корпорации почти одновременно с публикацией отчёта — хотя это два разных дела.
Связь между IPIDEA и SmartProxy заметили и в компании Proxyway, занимающейся исследованием прокси-рынка. Они обнаружили 773 087 уникальных IP-адресов, принадлежащих SmartProxy, внутри публично доступного датасета IPIDEA, который в общей сложности содержит 16 192 293 уникальных адреса. Вывод напрашивается сам: либо SmartProxy перепродаёт мощности IPIDEA напрямую, либо как минимум активно использует их как один из основных источников IP-адресов.
Отдельного внимания заслуживает техника, которую специалисты называют drop-catching — перехват доменного имени сразу после истечения срока его регистрации. Смысл прост: домен, который годами существовал легально и накопил репутацию у поисковиков и антивирусов, внезапно попадает в руки злоумышленников вместе со всей своей историей. В сочетании с типо-сквоттингом (доменами вроде вместо ) это даёт мошенникам фору — их ресурсы реже вызывают подозрение у защитных систем.
След от 7-Zip кампании привёл исследователей дальше. В образцах вредоносных установщиков был обнаружен встроенный IPLogger-адрес — iplogger[.]com/mnWD. Анализ этой ссылки показал, что та же инфраструктура обслуживает не только поддельный архиватор, но и трояны, маскирующиеся под WhatsApp, фальшивые загрузчики видео с TikTok и YouTube, а также приложение под названием WireVPN.
WireVPN — по всей видимости, самая свежая ветка развития кампании. В отличие от прежних десктопных лур, она охватывает сразу три платформы: Android, macOS и Windows. В Google Play найдено конкретное приложение — «wirevpn — Fast Unlimited Proxy», разработчиком которого числится британская компания WEILAI NETWORK TECHNOLOGY CO., LIMITED. У приложения — больше миллиона загрузок, хотя органическая ли это популярность или накрутка, установить не удалось. В Infoblox отмечают: «В оригинальной кампании с 7-Zip жертв заманивали через обучающий контент, поисковую выдачу и домены-двойники. Используются ли аналогичные приёмы для распространения нынешних десктопных версий — неясно, но мобильные приложения вполне могут работать как дополнительный канал привлечения жертв». Остаётся открытым и другой вопрос — встроена ли в мобильные версии та же функция превращения устройства в прокси-узел, что и в десктопных, или это ограничение только для компьютеров.
По сути, вся конструкция работает в два этапа. Сначала — заражённые установщики, поддельные мобильные приложения и прочие приманки вербуют устройства жертв в ботнет, контролируемый злоумышленниками. Затем этот пул скомпрометированных устройств монетизируется через брендированные под легальные компании прокси-сервисы, а фальшивые обзорные сайты гонят трафик в собственные витрины группировки. В Infoblox формулируют это так: «Вместо того чтобы вести одну малварную кампанию, Lurking Lizard годами управляет несколькими стадиями жизненного цикла резидентного прокси — от вербовки устройств жертв до маркетинга и продажи доступа к получившейся сети».
Исследователи проводят прямую параллель с малвертайзингом — мошенничеством в партнёрской рекламе. «Нас поражает сходство между недавно вскрытой преступной деятельностью в сфере резидентных прокси и малвертайзингом, который терзает партнёрскую рекламу, — отмечают в Infoblox. — Есть очевидная история: ваш телевизор может быть частью гигантского ботнета, атакующего интернет. Но настоящая история гораздо сложнее, и решения пока ускользают».
Буквально за несколько дней до публикации отчёта о Lurking Lizard стало известно о другой, но родственной по духу операции. Google существенно подорвала работу резидентной прокси-сети NetNut, также известной под именем Popa. Эта сеть затрагивала как минимум 2 миллиона устройств — в первую очередь умные телевизоры и стриминговые приставки. Заражение происходило либо через предустановленные ещё на заводе вредоносные SDK, либо через приложения со скрытым прокси-кодом. В Google прокомментировали ситуацию так: «Это создаёт серьёзные риски для ничего не подозревающих владельцев устройств, поскольку их домашние IP-адреса могут использоваться злоумышленниками как плацдарм для взлома и других несанкционированных действий. В результате легитимный трафик пользователей может быть помечен как подозрительный или заблокирован их интернет-провайдером».
Оба случая — и Lurking Lizard, и NetNut — показывают одно и то же: обычные бытовые устройства, от домашнего ноутбука до смарт-телевизора в гостиной, давно стали разменной монетой в теневом рынке резидентных прокси. Причём страдает от этого не только тот, кто скачал поддельный установщик по невнимательности — под удар попадает и его домашний IP-адрес, который потом может внезапно оказаться в чёрных списках провайдеров из-за чужой вредоносной активности, прогнанной через его же роутер.
Infoblox назвала группировку, стоящую за этой инфраструктурой, Lurking Lizard. По данным исследователей, злоумышленники контролируют свыше 230 доменов-двойников, а первые следы их активности прослеживаются с августа 2022 года. Анализ WHOIS-записей и цифровых отпечатков инфраструктуры указывает на китайский след, хотя точная привязка к конкретной организации пока не подтверждена.
Схема построена не на разовом взломе, а на подделке репутации целых брендов резидентных прокси-сервисов. Lurking Lizard мимикрирует под IPIDEA, SmartProxy (компания недавно сменила название на Decodo), IP Royal и 911Proxy. Причём мошенники не просто копируют логотипы — они создают фальшивые «независимые» обзорные сайты, которые как бы объективно сравнивают провайдеров прокси, а на деле подталкивают посетителя к покупке в собственных поддельных магазинах группировки. В качестве приманки используются и раскрученные VPN-сервисы, и такие продукты, как HeroSMS — люди ищут привычный инструмент, а получают вредоносный установщик.
Пока Infoblox копалась в этой сети, случилось показательное совпадение: в январе Google самостоятельно демонтировала инфраструктуру IPIDEA в рамках отдельного расследования. То есть один из брендов, чьё имя эксплуатирует Lurking Lizard, оказался под ударом крупной корпорации почти одновременно с публикацией отчёта — хотя это два разных дела.
Связь между IPIDEA и SmartProxy заметили и в компании Proxyway, занимающейся исследованием прокси-рынка. Они обнаружили 773 087 уникальных IP-адресов, принадлежащих SmartProxy, внутри публично доступного датасета IPIDEA, который в общей сложности содержит 16 192 293 уникальных адреса. Вывод напрашивается сам: либо SmartProxy перепродаёт мощности IPIDEA напрямую, либо как минимум активно использует их как один из основных источников IP-адресов.
Отдельного внимания заслуживает техника, которую специалисты называют drop-catching — перехват доменного имени сразу после истечения срока его регистрации. Смысл прост: домен, который годами существовал легально и накопил репутацию у поисковиков и антивирусов, внезапно попадает в руки злоумышленников вместе со всей своей историей. В сочетании с типо-сквоттингом (доменами вроде вместо ) это даёт мошенникам фору — их ресурсы реже вызывают подозрение у защитных систем.
След от 7-Zip кампании привёл исследователей дальше. В образцах вредоносных установщиков был обнаружен встроенный IPLogger-адрес — iplogger[.]com/mnWD. Анализ этой ссылки показал, что та же инфраструктура обслуживает не только поддельный архиватор, но и трояны, маскирующиеся под WhatsApp, фальшивые загрузчики видео с TikTok и YouTube, а также приложение под названием WireVPN.
WireVPN — по всей видимости, самая свежая ветка развития кампании. В отличие от прежних десктопных лур, она охватывает сразу три платформы: Android, macOS и Windows. В Google Play найдено конкретное приложение — «wirevpn — Fast Unlimited Proxy», разработчиком которого числится британская компания WEILAI NETWORK TECHNOLOGY CO., LIMITED. У приложения — больше миллиона загрузок, хотя органическая ли это популярность или накрутка, установить не удалось. В Infoblox отмечают: «В оригинальной кампании с 7-Zip жертв заманивали через обучающий контент, поисковую выдачу и домены-двойники. Используются ли аналогичные приёмы для распространения нынешних десктопных версий — неясно, но мобильные приложения вполне могут работать как дополнительный канал привлечения жертв». Остаётся открытым и другой вопрос — встроена ли в мобильные версии та же функция превращения устройства в прокси-узел, что и в десктопных, или это ограничение только для компьютеров.
По сути, вся конструкция работает в два этапа. Сначала — заражённые установщики, поддельные мобильные приложения и прочие приманки вербуют устройства жертв в ботнет, контролируемый злоумышленниками. Затем этот пул скомпрометированных устройств монетизируется через брендированные под легальные компании прокси-сервисы, а фальшивые обзорные сайты гонят трафик в собственные витрины группировки. В Infoblox формулируют это так: «Вместо того чтобы вести одну малварную кампанию, Lurking Lizard годами управляет несколькими стадиями жизненного цикла резидентного прокси — от вербовки устройств жертв до маркетинга и продажи доступа к получившейся сети».
Исследователи проводят прямую параллель с малвертайзингом — мошенничеством в партнёрской рекламе. «Нас поражает сходство между недавно вскрытой преступной деятельностью в сфере резидентных прокси и малвертайзингом, который терзает партнёрскую рекламу, — отмечают в Infoblox. — Есть очевидная история: ваш телевизор может быть частью гигантского ботнета, атакующего интернет. Но настоящая история гораздо сложнее, и решения пока ускользают».
Буквально за несколько дней до публикации отчёта о Lurking Lizard стало известно о другой, но родственной по духу операции. Google существенно подорвала работу резидентной прокси-сети NetNut, также известной под именем Popa. Эта сеть затрагивала как минимум 2 миллиона устройств — в первую очередь умные телевизоры и стриминговые приставки. Заражение происходило либо через предустановленные ещё на заводе вредоносные SDK, либо через приложения со скрытым прокси-кодом. В Google прокомментировали ситуацию так: «Это создаёт серьёзные риски для ничего не подозревающих владельцев устройств, поскольку их домашние IP-адреса могут использоваться злоумышленниками как плацдарм для взлома и других несанкционированных действий. В результате легитимный трафик пользователей может быть помечен как подозрительный или заблокирован их интернет-провайдером».
Оба случая — и Lurking Lizard, и NetNut — показывают одно и то же: обычные бытовые устройства, от домашнего ноутбука до смарт-телевизора в гостиной, давно стали разменной монетой в теневом рынке резидентных прокси. Причём страдает от этого не только тот, кто скачал поддельный установщик по невнимательности — под удар попадает и его домашний IP-адрес, который потом может внезапно оказаться в чёрных списках провайдеров из-за чужой вредоносной активности, прогнанной через его же роутер.